一、Cookie的应用
1.Cookie文件的定义及其功能
Cookie文件是指在浏览某个网站时,由web服务器的CGI脚本创建的存储在浏览器客户端计算机上的一个小文本 文件。
Cookie记录了用户的有关信息,如身份识别号码ID、密码、浏览过的网页、停留的时间、用户在web站点购物的方式或者用户访问该站点的次数等,当用户再次链接web服务器时,浏览器读取Cookie信息并传递给web站点。 Cookie的主要功能是实现用户个人信息的记录,他最根本的用途是帮助web站点保存有关访问者的信息。更概括的说,Cookie是一种保持web应用程序持续性(及执行状态管理)的方法。
Http协议是一种无状态、无连接的协议,不能再服务器上保持一次回话的连续状态信息。所以就提出了Http的状态管理机制--cookie机制,他是对http协议的一种补充,以保持服务器和客户端的连续状态。
2.Cookie的应用
(1)实现web中的用户认证
大多数站点在进行用户身份认证时都采用cookie机制,使用户在通过第一次身份认证以后,无需再多次输入其用户账号、口令密码等,省去用户登录的繁琐。
(2)定制个性化空间
Cookie技术方便web站点为不同用户定制信息,给用户提供个性化、更友好的浏览环境,并能更加准确的收集访问者的信息。
(3)网站访问统计
(4)维护在线电子商务客户信息
在线订购商务中使用Cookie技术,科技在用户想购买的物品。 (5)记录站点的轨迹
二、会话管理的方式
1.cookie的方式
2.URLRewriting:重写URL
3.hidden:隐藏域
三、会话管理的恶意利用与预防**
1.Cookie截获
Cookie已纯文本的形式在浏览器和服务器之间传送,很容易被他人非法截获和利用,任何可以截获web通信的人都可以读取cookie,从而泄露用户隐私。
Cookie被非法用户截获后,在其有效期内重放,则此非法用户将享有合法用户的权益。
Cookie截获的预防
(1)不在cookie中保存一些重要信息,如电子邮件地址、用户名、密码、信用卡账号等,如果非要在cookie中保存某些敏感信息,就要对其加密。
(2)对cookie属性进行设置,加上HttpOnly、Secure标签。
(3)及时删除cookie信息,废弃对话。
2.修改用户识别号码伪装其他用户
每个用户被设定的可推测的识别号码,来进行各自的各种操作,通过改变识别号码的参数并发送请求,就能够伪装成其他用户,进行篡改个人信息等各种操作。
修改用户识别号码伪装成其他用户的对策
(1)识别号码不传递给用户,只在服务器保存。
(2)给每个用户设定识别号码时,要选择用不可推测的值,关联会话ID绑定。
3.跨站脚本请求欺骗
文章图片
预防:
1.验证码、短信验证、密码验证
2.one-Time Tokens
一、Cookie的应用
1.Cookie文件的定义及其功能
Cookie文件是指在浏览某个网站时,由web服务器的CGI脚本创建的存储在浏览器客户端计算机上的一个小文本 文件。
Cookie记录了用户的有关信息,如身份识别号码ID、密码、浏览过的网页、停留的时间、用户在web站点购物的方式或者用户访问该站点的次数等,当用户再次链接web服务器时,浏览器读取Cookie信息并传递给web站点。 Cookie的主要功能是实现用户个人信息的记录,他最根本的用途是帮助web站点保存有关访问者的信息。更概括的说,Cookie是一种保持web应用程序持续性(及执行状态管理)的方法。
Http协议是一种无状态、无连接的协议,不能再服务器上保持一次回话的连续状态信息。所以就提出了Http的状态管理机制--cookie机制,他是对http协议的一种补充,以保持服务器和客户端的连续状态。
2.Cookie的应用
(1)实现web中的用户认证
大多数站点在进行用户身份认证时都采用cookie机制,使用户在通过第一次身份认证以后,无需再多次输入其用户账号、口令密码等,省去用户登录的繁琐。
(2)定制个性化空间
Cookie技术方便web站点为不同用户定制信息,给用户提供个性化、更友好的浏览环境,并能更加准确的收集访问者的信息。
(3)网站访问统计
(4)维护在线电子商务客户信息
在线订购商务中使用Cookie技术,科技在用户想购买的物品。 (5)记录站点的轨迹
二、会话管理的方式
1.cookie的方式
2.URLRewriting:重写URL
3.hidden:隐藏域**
三、会话管理的恶意利用与预防**
1.Cookie截获
Cookie已纯文本的形式在浏览器和服务器之间传送,很容易被他人非法截获和利用,任何可以截获web通信的人都可以读取cookie,从而泄露用户隐私。
Cookie被非法用户截获后,在其有效期内重放,则此非法用户将享有合法用户的权益。
Cookie截获的预防
(1)不在cookie中保存一些重要信息,如电子邮件地址、用户名、密码、信用卡账号等,如果非要在cookie中保存某些敏感信息,就要对其加密。
(2)对cookie属性进行设置,加上HttpOnly、Secure标签。
(3)及时删除cookie信息,废弃对话。
2.修改用户识别号码伪装其他用户
每个用户被设定的可推测的识别号码,来进行各自的各种操作,通过改变识别号码的参数并发送请求,就能够伪装成其他用户,进行篡改个人信息等各种操作。
修改用户识别号码伪装成其他用户的对策
(1)识别号码不传递给用户,只在服务器保存。
(2)给每个用户设定识别号码时,要选择用不可推测的值,关联会话ID绑定。
3.跨站脚本请求欺骗
文章图片
预防:
1.验证码、短信验证、密码验证
【安全测试之会话管理的恶意利用与预防】2.one-Time Tokens
